Quellcode von Mercedes-Benz-Fahrzeugen online geleakt

Der Source-Code für smarte Komponenten, die in manchen Fahrzeugen von Mercdes-Benz installiert sind, waren im Internet nur unzureichend geschützt. Ein Schweizer Software-Entwickler ist mehr oder weniger zufällig über das Git-Webportal der Daimler AG gestolpert.

Obwohl er nicht dafür berechtigt war, konnte er sich für das Webportal registrieren und anschließend auf mehr als 580 Git-Repositorys von Daimler zugreifen und diese auch herunterladen.

Sensible Daten

Unter anderem kam er auf diese Weise an den Quellcode der in Mercedes-Transportern installierten Onboard Logic Units (OLU). Die OLU ist eine Komponente in den Fahrzeugen, die laut Daimler die Hardware und Software miteinander verbindet und die die Fahrzeuge mit der Cloud verbindet.

Außerdem ermögliche die OLU den technischen Zugriff und die Verwaltung von Live-Fahrzeugdaten. So können beispielsweise Flottenmanager die Standorte von Mercedes-Transportern online live verfolgen, den Status der Fahrzeuge abrufen oder den Transporter im Falle eines Diebstahls stilllegen.

Über Google gefunden

Der Schweizer Entwickler habe die Git-Repositorys von Daimler einfach per Google-Suchanfrage gefunden, erzählt er ZDNet. Er war überrascht, wie leicht auffindbar das Webportal war.

Noch mehr überrascht war, er als er sich mit einer erfundenen Daimler-Mailadresse einen Account für das Portal erstellen konnte. Offenbar verzichtete Daimler auf eine Account-Bestätigung per Mail, wie es normalerweise bei Online-Konten üblich ist.

Die Daten, auf die der Entwickler zugreifen konnte, waren nicht mit einer Open-Source-Lizenz gekennzeichnet. Das bedeutet, dass es sich wohl um proprietären Code handelt, der nicht für die Öffentlichkeit bestimmt ist.

Auch Passwörter enthalten

Neben dem Source-Code für die Onboard Logic Units, weiteren Code-Fragmenten sowie internen Dokumenten, waren in den Git-Repositorys auch Passwörter und API-Tokens für interne Systeme von Daimler zu finden.

Mit dem Leak konfrontiert, hat Daimler den Repository-Server vom Netz genommen. Der Entwickler hat den Source-Code allerdings online gestellt. Bis Daimler in dazu auffordert, ihn offline zu nehmen, soll er für die Öffentlichkeit abrufbar sein.

Ob der Entwickler legal gehandelt hat, sei laut ZDNet unklar. Bevor er Daimler über den Leak informiert hat, hat er den Source-Code bereits online gestellt. Allerdings, so der Entwickler, konnte sich jeder einen Account für das Webportal erstelle. Daher könnte man argumentieren, dass jeder auf die Informationen zugreifen durfte.